Reden van de boete
Uit het onderzoek van de AP, kwam naar voren dat TikTok onvoldoende aan het beginsel van transparantie en de informatieplicht voldeed. Betrokkenen moeten op basis van de Algemene Verordening Gegevensbescherming (AVG) immers in beknopte, begrijpelijke, duidelijke en eenvoudige taal worden geïnformeerd over de verwerking van hun persoonsgegevens. Door TikTok was hier in de periode van 25 mei 2018 t/m 28 juli 2020 (het moment waarop TikTok naar aanleiding van het onderzoeksrapport van de AP haar privacybeleid heeft aangepast) niet aan voldaan. Immers bood TikTok Nederlandstalige kinderen enkel een Engelstalige versie van haar privacybeleid, dat qua taalgebruik en vorm onvoldoende aansloot bij (Nederlandstalige) kinderen. TikTok bracht hier nog tegenin dat zij wel Nederlandstalige pop-ups bood, evenals privacy- en veiligheidsinstellingen en een ‘Help and Safety Centre’. De AP vond dat dit de situatie niet veranderde, ondanks dat dit bijdroeg aan de transparantie. Immers werd hiermee door TikTok niet aan de (volledige) informatieplicht voldaan.
Hoogte van de boete
Bij het niet/onvoldoende voldoen aan de informatieplicht, kan op basis van de AVG een boete worden opgelegd van maximaal €20.000.000,- of 4% van de totale wereldwijde jaaromzet. Binnen dit wettelijk kader, gebruikt de AP haar Boetebeleidsregels 2019 voor vaststelling van de hoogte van een boete. Op basis van deze boetebeleidsregels, geldt voor de overtreding van de informatieplicht een boete brandbreedte van €300.000,- en €750.000,- en een basisboete van €525.000,-. Gezien de grote groep gebruikers onder de 16 jaar, de ernst van de inbreuk, de verwijtbaarheid hiervan en de aanzienlijke duur van de inbreuk heeft de AP aan TikTok de maximale boete opgelegd. De maatregelen die TikTok reeds had genomen (zoals de pop-ups en het ‘Health and Safety Centre’) evenals de draagkracht van TikTok, hebben deze boete niet verlaagd.
Hoe moet het dan wel?
Op basis van het transparantiebeginsel[1] en de informatieplicht, moeten organisaties betrokkenen bij de verkrijging van hun persoonsgegevens hierover in een “beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal”[2] informeren. Om te bepalen wat ‘begrijpelijk’ is, moet de organisatie bepalen wat haar doelgroep waarschijnlijk zal begrijpen. ‘Duidelijke en eenvoudige taal’ betekent dat de teksten geen te juridische, technische of specialistische taal of terminologie mogen bevatten. Daarbij mogen de teksten niet alleen beschikbaar worden gesteld in een taal die de betrokkenen niet spreken. Voor organisaties die zich richten tot kinderen (of zich ervan bewust zouden moeten zijn dat hun goederen/diensten door met name kinderen worden gebruikt), geldt nog een extra zware maatstaf. Zo moeten zij de informatie beschikbaar stellen op een manier die qua vocabulaire, toon en stijl makkelijk voor een kind te begrijpen is.[3]
Discussie over de bevoegdheid van de AP
Gedurende het onderzoek, heeft er een hele discussie plaatsgevonden over de bevoegdheid van de AP. TikTok heeft haar hoofdvestiging namelijk gedurende de onderzoeksperiode definitief gevestigd in Ierland. Dit betekende, dat de Ierse toezichthouder bevoegd werd in plaats van de AP. Het resultaat hiervan, is dat de AP uiteindelijk alleen nog maar bevoegd was om te oordelen over de privacyverklaring.
Wat gaat er nu gebeuren?
Gedurende het onderzoek, heeft er een hele discussie plaatsgevonden over de bevoegdheid van de AP. TikTok heeft haar hoofdvestiging namelijk gedurende de onderzoeksperiode definitief gevestigd in Ierland. Dit betekende, dat de Ierse toezichthouder bevoegd werd in plaats van de AP. Het resultaat hiervan, is dat de AP uiteindelijk alleen nog maar bevoegd was om te oordelen over de privacyverklaring.
Wat gaat er nu gebeuren?
De AP heeft haar onderzoeksresultaten overgedragen aan de Ierse toezichthouder, en heeft de Ierse toezichthouder gevraagd om een (definitief) besluit te nemen. Daarnaast heeft TikTok tegen de Nederlandse boete al bezwaar aangetekend. Het wordt dus ongetwijfeld vervolgd…
Vragen?
Wilt u meer weten over het principe van transparantie en de informatieplicht? Neem dan gerust contact op.
Michelle Wijnant, Legal Counsel IT, IE & Privacy
[1] Artikel 5 (1) (a) Algemene Verordening Gegevensbescherming (AVG).
[2] Artikel 12 (1) AVG.
[3] Zie ook ‘Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679’.